apa cara aman untuk mengirim kata sandi melalui internet?

12

Saya mencari cara terbaik untuk mengirim kata sandi melalui internet dengan aman. Pilihan yang saya lihat adalah PGP dan file RAR terenkripsi. Tidak ada parameter nyata selain dari titik a ke titik b atas internet tanpa terlalu banyak risiko.

security password Jim B
sumber
4
Ini mungkin terdengar aneh, tetapi mengapa karena seseorang merekomendasikan Skype dan memanggil mereka, mengapa tidak mengirim SMS kata sandi? (Dengan asumsi pihak lain memiliki ponsel, tapi hei siapa yang tidak memiliki ponsel saat ini?)
Darius

Jawaban:

25

PGP atau metode enkripsi asimetris lainnya akan terdengar seperti cara untuk pergi ..

  1. kedua belah pihak harus mempublikasikan kunci publiknya
  2. menandatangani pesan Anda dengan kunci pribadi Anda sendiri
  3. mengenkripsi dengan kunci publik yang lain
  4. mengirimkan file
  5. hanya kunci pribadi orang lain yang dapat mendekripsi pesan
  6. kunci publik Anda dapat digunakan untuk memvalidasi pesan

=> aman & pribadi

lexu
sumber
+1 penjelasan yang bagus.
msanford
+1. Saya suka ini bahkan lebih baik daripada jawaban saya sendiri, karena ini memberikan rincian bagaimana seharusnya dilakukan.
Milan Babuškov
Ini mungkin cara terbaik untuk pergi - saya berharap untuk sesuatu yang klien tidak perlu menginstal tetapi ini adalah jawaban terbaik.
Jim B
+1 untuk GPG / PGP. Enkripsi asimetris benar-benar pilihan terbaik di sini.
Bran the Blessed
9

Mekanisme apa pun yang menggunakan kunci asimetris (seperti SSL atau PGP) baik. Pada dasarnya, itu berarti Anda mengenkripsi data (kata sandi dalam kasus Anda) dengan kunci publik orang lain, dan satu-satunya cara untuk mendekripsi adalah dengan memiliki akses ke kunci pribadi (yang hanya penerima lakukan).

Satu-satunya hal yang perlu dikhawatirkan tentang PGP adalah siapa yang Anda percayai, karena spoofing dapat dengan mudah terjadi ketika orang menandatangani kunci mereka sendiri.

Baca bagian web kepercayaan di entri wikipedia untuk PGP untuk info lebih lanjut tentang itu.

Milan Babuškov
sumber
2
Hanya untuk membantu mereka yang tidak tahu apa ini dan Googling, istilahnya adalah kunci "asimetris" (bukan asinkron), yang berarti bahwa kedua bagian kunci tersebut tidak terlihat sama. :)
msanford
+1 karena enkripsi kunci asimetris adalah solusi terbaik, dan juga menyediakan cara untuk memverifikasi identitas penerima (sedangkan RAR terenkripsi tidak, sungguh-sungguh.)
msanford
1
+1 untuk penyebutan kunci asimetris. Saya juga mengedit posting Anda untuk memperbaiki kesalahan ketik.
KPWINC
8

Bagaimana dengan memanggil penerima dengan Skype ?

ceejayoz
sumber
2
Memberi +1 karena ini sebenarnya bukan ide yang buruk dan kurang dimanfaatkan. Tentu, jika Anda memiliki banyak tombol untuk memberikan itu tidak akan bekerja dengan baik, tetapi untuk satu atau dua ...
msanford
1
Skype berfungsi dengan baik selama resep berada di dekat zona waktu yang sama. Saya biasanya hanya menelepon menggunakan POTS tetapi opsi itu tidak tersedia.
Jim B
Apakah kamu serius? Tentu "lebih baik" daripada teks biasa, tetapi tidak ada yang harus merekomendasikan hal seperti itu ...
lajarre
@ lajarre Peduli untuk menjelaskan? Bagi kebanyakan orang Skype akan menjadi metode yang bisa diterima.
ceejayoz
@ceejayoz jika saya mengerti dengan baik, jawaban ini merekomendasikan OP untuk memberi tahu penerima sandi lainnya menggunakan suaranya melalui Skype. Saya kira reaksi saya (yang saya percaya adalah yang benar ketika Anda seharusnya paranoid dengan kata sandi Anda) berasal dari fakta bahwa Skype adalah hak milik. Apakah Anda seorang peretas yang cukup baik untuk mengetahui apakah itu aman? Atau apakah Anda mengandalkan kepercayaan pada Skype? Perangkat lunak berbasis ZRTP akan menjadi jawaban yang aman. Saya tidak yakin apa arti "diterima [bagi kebanyakan orang]" ...
lajarre
2

Anda juga harus memastikan penerima harus mengubah kata sandi sebelum dapat menggunakan layanan apa pun untuk - mengautentikasi perubahan dengan kata sandi satu kali yang dikirim. Ini akan memberikan perlindungan lebih lanjut terhadap pencurian - dan / atau peluang yang sedikit lebih baik untuk menemukan satu jika itu mengharuskan pencuri untuk mengubahnya, meninggalkan pengguna sejati dengan akses yang ditolak segera ^^

Oskar Duveborn
sumber
1

Kirim tautan sekali pakai, yang tertaut ke halaman (menggunakan SSL) tempat kata sandi dapat dibuat. Jika ada orang lain yang menemukan tautannya, sepertinya sudah terlambat bagi mereka untuk menggunakan tautan itu. Anda akan membutuhkan semacam kemampuan reset, kalau-kalau tautannya dicegat dan digunakan sebelum penerima yang dituju.

Wayne Sheppard
sumber
1

Jika Anda berada di windows, Anda mungkin ingin mendengarkan Security Now 201: SecureZip

AFAIK SecureZip mengimplementasikan / mengotomatiskan pendekatan enkripsi asimetris yang saya jelaskan di atas .

lexu
sumber
1

Anda mungkin ingin mencoba NoteShred. Ini alat yang dibuat cukup banyak untuk kebutuhan Anda. Anda dapat membuat catatan yang aman, mengirimkan tautan dan kata sandi kepada seseorang dan membuatnya "rusak" sendiri setelah mereka membacanya. Catatan hilang dan Anda menerima pemberitahuan melalui email untuk memberi tahu Anda bahwa info Anda dihancurkan.

Gratis, dan tidak perlu mendaftar.

https://www.noteshred.com

Cheyne
sumber
1

Jika ini adalah satu hal, Anda dapat menggunakan alat saya: http://tanin.nanakorn.com/labs/secureMessage

Ini menggunakan Javascript untuk melakukan enkripsi RSA. Karenanya, kata sandi Anda tidak pernah meninggalkan mesin milik Anda atau teman Anda. Silakan lihat FAQ di halaman di atas untuk informasi lebih lanjut.

Untuk melakukannya secara teratur, Anda sebaiknya menggunakan kunci PGP atau SSH, sehingga Anda tidak harus membuat pasangan kunci baru setiap kali.

Tanin
sumber
0

Saya cenderung menggunakan metode sinkron untuk transmisi kata sandi. Seringkali saya hanya mengirim pesan kepada seseorang dan memberi tahu mereka bahwa kata sandi yang mereka tunggu adalah xxxxxx. Dengan begitu tidak ada identifikasi server tempat kata sandi berfungsi dan saya dapat mengirimkannya ketika saya tahu orang tersebut duduk di sana untuk segera mengubah kata sandi.

Catherine MacInnes
sumber
Selain itu, menggunakan IM Anda dapat menggunakan klien yang mampu protokol OTR seperti Pidgin atau Adium, atau menggunakan Skype yang mengenkripsi IM (meskipun saya tidak yakin levelnya).
msanford
0

Anda tidak memberikan banyak detail tentang apa yang dibutuhkan, tetapi saya menyimpan kata sandi saya di file Keepass yang disimpan di Dropbox.

Greeblesnort
sumber
-2

Formulir web terenkripsi HTTPS mungkin bekerja dengan baik. Saya akan khawatir tentang file RAR, karena jika seseorang menangkap seluruh file, mereka bisa memaksa kata sandi sampai rusak. Menangkap dan menyusun aliran HTTPS tidak terlalu mudah, terutama dengan ukuran tombol yang besar. Mereka kemudian dapat disimpan dalam database terenkripsi atau sesuatu, mungkin hanya diambil melalui formulir web yang aman juga.

PGP juga akan berfungsi, jika Anda memiliki cara untuk bertukar kunci pribadi dengan aman dan dapat percaya bahwa itu tidak akan dikompromikan di ujung yang lain.

Mat
sumber
Adakah pemikiran tentang cara mengetahui siapa yang meminta formulir / halaman web itu? Jika pengguna belum mengetahui kata sandi, maka pengguna juga tidak dapat mengotentikasi.
Arjan
3
Skema enkripsi kunci asimetris seperti PGP / GPG dirancang khusus sehingga Anda TIDAK harus menukar kunci pribadi Anda. Anda menukar Anda kunci publik, yang disebut publik karena seharusnya hanya itu, publik. Tidak perlu menyembunyikan kunci publik Anda, hanya kunci pribadi Anda.
Mikael Auno
1
Maaf, saya salah mengerti pertanyaan aslinya. Saya berasumsi ini untuk hal internal dan bukan untuk pengguna baru atau sesuatu. Enkripsi kunci publik akan menjadi cara yang sesuai dengan yang Anda inginkan.
Matt